Protege el núcleo de tu negocio: segmenta tu red

Continuamos con nuestras tertulias sobre Industria 4.0. Tras analizar cómo auditar los dispositivos IP conectados en una planta de producción y verificar su estado de seguridad, en la segunda jornada hemos compartido consejos y buenas prácticas acerca de la segmentación y ordenación lógica de la red.

 

Solicita una propuesta de IoT a medida

 

Los incidentes en plantas de producción industrial ya no son ninguna anécdota. A mayor cantidad de dispositivos conectados, mayor es el riesgo al que se expone tu pyme. La monitorización permite una visualización de amenazas que para muchas empresas era desconocida por la sensación de falsa seguridad que transmiten los sistemas industriales.

¿Cómo puedes mitigar los riesgos a los que se expone tu fábrica? En primer lugar mediante la restauración de copias de seguridad. Sin esta fase de recuperación el posible incidente puede complicarse hasta el punto de comprometer la continuidad del negocio.

Otra manera de mitigar estos riesgos es mediante un plan de contención para el que es vital ordenar la red y proteger las comunicaciones. Es fundamental realizar esta labor por varios motivos:

  • Conseguir una segmentación dinámica.
  • Evitar que una amenaza IP se expanda por todas las redes de una misma compañía.
  • Evitar accesos no controlados.
  • Mejorar la gestión de la red.
  • Facilitar el análisis del tráfico de datos.

Para segmentar y ordenar la red, en Sarenet seguimos normativas como la IEC62443. No con todas las pymes industriales es posible llegar a todo lo que marca la norma pero sí es posible acercarse.

A mayor número de delegaciones, mayor es el número de riesgos a los que se enfrenta tu negocio: es crucial adecuar la conexión de la fábrica y separar los dispositivos en islas que no hablen entre sí, sino con un dispositivos central. Además, es necesario instalar equipos de salto en el segmento DMZ («zona desmilitarizada») entre la red IT y la red OT, así como instalar y configurar cortafuegos que ayuden a separar la lógica de la red.

 

Acceso seguro a dispositivos de campo

 

Si bien cada vez es más habitual hacerlo de forma remota o desde la propia red de campo, el acceso a los dispositivos de campo se sigue realizando de forma local. En este proceso es muy importante la concienciación interna de la plantilla, ya que en muchos casos el acceso se realiza mediante un panel de control o pantalla integrada en el propio dispositivo.

En este proceso en primer lugar hay que identificar los elementos involucrados. Por ejemplo:

  • Red de campo.
  • Operador que realiza el acceso físico.
  • Dispositivos de la misma red para el acceso local.

Cuando el acceso a los dispositivos se realiza de forma remota, intervienen además los siguientes elementos:

  • Usuario de la red corporativa (por ejemplo, la dirección de Ingeniería que desde su oficina quiere consultar el estado de la producción).
  • Equipo de la red corporativa desde el que se realiza el acceso.
  • Routers y switches distribuidos a lo largo de toda la red.

La falta de mecanismos de autenticación puede acarrear problemas serios. Así, sería deseable contar con un registro centralizado de logs que documente todos los accesos.

La separación de los equipos en la red debe realizarse según parámetros de conectividad, criticidad, funcionalidad… Equipos con una criticidad más baja no deberían tener acceso a equipos con una criticidad más alta.

 

Solicita asesoramiento en la digitalización de tu pyme industrial

 

 

Riesgos propios de los accesos remotos

 

Los accesos remotos a la red industrial son cada vez más comunes por parte de operadores y fabricantes que aplican actualizaciones en dispositivos de campo. Es muy importante vigilar estas conexiones porque entran en el núcleo del negocio: las máquinas que fabrican.

Cuando una empresa aprueba una petición de actuación remota, el usuario accede a través de un cortafuegos perimetral a la red corporativa y de esta manera se garantiza la legitimidad de accesos mediante una comunicación protegida. Una vez que está dentro de la red corporativa, el resto de accesos se realiza mediante el equipo de salto.

A la segmentación de la red le debe acompañar:

  • Establecer mecanismos de autenticación robustos.
  • Implementar una correcta gestión de usuarios y permisos.
  • Establecer una política de contraseñas seguras.

Permitir una conexión directa entre la red corporativa y la red industrial, así como entre las máquinas e Internet, se salta cualquier buena práctica.

 

Solicita asesoramiento en soluciones IoT

 
Sobre este Autor

Aitor Lejarzegi Zabala | Especialista en informática y telecomunicaciones para sistemas industriales | Amplia experiencia en distintos sectores industriales como el metal, oil&gas, naval o automoción | Postgrado en redes y comunicaciones con certificación oficial | Credencial profesional Nivel Negro del Centro de Ciberseguridad Industrial de España

1 Comentario

Puedes enviar comentarios en este post.


  • […] Arcanos trabaja con organizaciones de diferentes sectores; todas ellas tienen algo en común: Internet se ha convertido para ellas en un recurso igual de imprescindible como lo es la electricidad. En la actualidad, nuestro partner está trabajando principalmente en proyectos de securización para la industria a través de la segmentación de redes IT y OT. […]

    ¡Únete a nuestra red de partners! | Blog Sarenet 5 meses ago Reply


Enviar una respuesta

Aviso de Privacidad.
Los datos facilitados en este formulario, quedarán registrados en un fichero titularidad de SARENET S.A.U., responsable del Fichero cuyos datos se detallan en el Aviso Legal, con la finalidad que los usuarios interesados contacten con los asesores y estos den respuesta a sus dudas e inquietudes en relación a los servicios ofrecidos. Podrás ejercer tus derechos de acceso, rectificación, supresión o limitación de la información personal, así como el de oposición a su tratamiento, mediante comunicación al e-mail: protecciondedatos@sarenet.es. Para más información sobre como tratamos tus datos, visita nuestra Política de privacidad.

No hay comentarios